Stellungnahme und Korrekturen der Schulte-Schlagbaum AG zum Artikel „Elektronische Schließfächer in Hotels & Co. gehackt – Abhilfe nur schwer möglich“ auf heise.de

16.08.2024

Stellungnahme und Korrekturen der Schulte-Schlagbaum AG zum Artikel "Elektronische Schließfächer in Hotels & Co. gehackt - Abhilfe nur schwer möglich" auf heise.de

• Am 14.08.2024 veröffentlichte heise.de einen Artikel darüber, dass zwei bekannte Hardware-Hacker diverse Schrankschlösser zweier Hersteller auf Schwachstellen untersucht haben; darunter auch Schlösser der Schulte-Schlagbaum AG (SAG).
• Einige entscheidende Aussagen im Artikel sind für die SAG-Schlösser jedoch nicht zutreffend.
• Mit ihrer Stellungnahme geht die SAG aktiv auf den Bericht ein und korrigiert diese nicht/nur teilweise zutreffenden Aussagen hinsichtlich der aufgedeckten Sicherheitslücken.
• Nur spezielle Schrankanlagen-Konfigurationen sind bei der SAG betroffen.

Getestet wurden ausschließlich Schlösser der Hersteller Digilock und SAG. Dabei wurde ausdrücklich darauf hingewiesen, dass die aufgedeckten Sicherheitslücken nicht nur diese beiden Unternehmen, sondern auch viele weitere Hersteller elektronischer Schließsysteme betreffen.

Im Gegensatz zu dem zweiten von den Hackern getesteten Hersteller, Digilock aus den USA, hatte die SAG leider keine Möglichkeit für eine Stellungnahme vorab. Eine erfolgreiche Kontaktaufnahme hat bei uns nicht stattgefunden. Das Unternehmen hätte es sehr begrüßt, vor der Veröffentlichung des Artikels diese Möglichkeit zu erhalten, um einzelne Punkte richtig stellen zu können.

Aus dem SAG-Portfolio wurden Schrankschlösser aus der Serie SAFE-O-TRONIC® access LS, Baureihen 100, 300 und 400 getestet.

Das im Artikel beschriebene Angriffsszenario bedingt, dass sich der Angreifer eines Schlosses bemächtigt. Dieses muss für den Angriff ausgebaut und zerlegt werden. Der Angreifer muss an die Leiterplatte gelangen. Der Angriff ist also nicht spurlos durchführbar. Kritisch ist jedoch, dass aus einem entwendeten Schloss Sicherheitsinformationen für andere Schlösser der gleichen Anlage ausgelesen werden könnten.

Statement und Korrektur zu kritischen Aussagen im heise-Artikel

Im Artikel ist von einer "Schwierigen Update-Situation" die Rede. Dort heißt es: "Dies ist umso fataler, da sich die gefundenen Einfallstore unter Umständen nur schwer aus der Welt schaffen lassen." Diese Aussage trifft auf fast alle SAG-Schlösser nicht zu. Lediglich die preisgünstigste Serie (100er) kann nicht direkt ein Firmware-Update eingespielt bekommen, sondern müsste dazu auseinandergebaut werden - und genau dies meinen die Hacker mit "schwieriger Update-Situation". Alle anderen Schlösser der SAG können mit einem entsprechenden Firmware-Update einfach aktualisiert werden.

Weiter wird behauptet, dass aus dem EEPROM die ID des Manager Keys ausgelesen werden kann. Dies mag auf die Schlösser anderer Hersteller zutreffen, ein solcher Angriff ist aber bei keinem SAG-Schloss möglich. MasterKeys (gleich: Manager Keys im Artikel) sind bei SAG immer von den Transponderdaten abhängig. Hierfür werden keine Informationen des Transponders im Schloss gespeichert. Somit können die notwendigen Informationen aus dem Schloss auch nicht ausgelesen werden.

Die Aussage, dass UIDs aus dem Log ausreichen, um eine Karte zu klonen, ist in Bezug auf die SAG-Schlösser so ebenfalls falsch.
Zwar kann die UID aus dem Log geklont und damit eine Karte erstellt werden, die dann die gleiche UID hat. Jedoch reicht im sogenannten Datenmodus die UID aus dem Log nicht aus, um ein anderes Schloss zu öffnen. Hierzu werden weitere Daten benötigt, die im Log nicht enthalten sind.
Im sogenannten Seriennummern-Modus wäre hingegen die UID aus dem Log tatsächlich ausreichend für das beschriebene Szenario; die SAG empfiehlt daher ihren Kunden ggf. betroffene Anlagen vom Seriennummern-Modus in den Datenmodus umstellen.

Weiter heißt es, der EEPROM enthalte die genutzte UID und den PIN-Code. Das ist korrekt, die UID des Transponders oder der PIN-Code, der das Schloss verschlossen hat, wird im EEPROM gespeichert. In der freien Schrankwahl werden die Informationen aber nur dann gespeichert, wenn das Schloss verschlossen wird. Da ein verschlossenes Schloss nicht ausgebaut werden kann, wäre nur ein Auslesen des Codes/der UID möglich, mit der der Angreifer das Schloss gerade selbst verschlossen hat. In der festen Zuordnung werden UIDs nur gespeichert, wenn der Seriennummern-Modus verwendet wird. Im Schließgruppen-Modus oder im Ausweisnummern-Modus ist der Angriff nicht so einfach möglich.

Maßnahmen seitens SAG eingeleitet

Die SAG nimmt jede Sicherheitslücke ernst und wird sämtliche Produkte dahingehend überprüfen, die Sicherheit weiter zu erhöhen.

Das Unternehmen arbeitet bereits an einem entsprechenden Update für ihre SAFE-O-TRONIC® access Schlösser, das mit der nächsten Firmware-Version zur Verfügung gestellt wird.

Mit dem Update wird das Auslesen der Daten aus dem EEPROM sowie das Auslesen der Firmware deutlich erschwert bzw. verhindert. Das beschriebene Angriffsszenario, welches ohnehin schon sehr aufwändig ist, wird dadurch zusätzlich behindert bzw. unmöglich gemacht.

Fazit und Handlungsempfehlungen

Ein solcher Angriff, wie er im heise-Artikel geschildert wird, bedingt immer, dass der Angreifer sich intensiv mit dem Schloss auseinandersetzten muss. Dazu ist es notwendig, dass er das Schloss komplett auseinanderbauen kann. In der Regel muss der Angreifer dazu ein Schloss entwenden. Das bedeutet in der Praxis: Ein solcher Angriff ist möglich, jedoch sehr aufwändig und immer nur für die Anlage erfolgreich, in der das Schloss entwendet wird.

In der SAG-Welt sind nur RFID/Transponder-Anlagen betroffen, die mit fester Schrankzuordnung im Seriennummern-Modus betrieben werden. Diese können einfach in den Datenmodus umgestellt werden; eine Konfiguration, die die SAG grundsätzlich empfiehlt.

Ein Angriff über die Master Funktionen ist bei SAG Schrankschlössern zudem nur im Bereich der PIN-Code Schlösser erfolgreich, hier empfiehlt die SAG auf Diebstahl von Schrankschlössern zu achten. In dem Fall sollte kurzfristig eine Neuprogrammierung erfolgen, was einen Angriff massiv erschwert.

Beide potenziellen Sicherheitslücken werden mit dem nächsten Firmware-Update behoben.